啟用內部部署 Microsoft Entra 密碼保護

使用者通常會建立可使用通用本機字組的密碼，例如學校、運動團隊或有名人員。這些密碼很容易猜測，且容易遭受字典型攻擊。為了在您的組織中強制執行強式密碼，Microsoft Entra 密碼保護提供了全域和自訂禁用密碼清單。如果此禁用密碼清單中有相符項目，密碼變更要求就會失敗。

若要保護您的內部部署 Active Directory Domain Services (AD DS) 環境，您可以安裝和設定 Microsoft Entra 密碼保護，以與您的內部部署 DC 搭配運作。本文說明如何為您的內部部署環境啟用 Microsoft Entra 密碼保護。

如需 Microsoft Entra 密碼保護如何在內部部署環境中運作的相關詳細資訊，請參閱如何強制執行 Windows Server Active Directory 的 Microsoft Entra 密碼保護。

開始之前

本文說明如何為您的內部部署環境啟用 Microsoft Entra 密碼保護。在您完成本文之前，請先在內部部署 AD DS 環境中安裝並註冊 Microsoft Entra 密碼保護 Proxy 服務和 DC 代理程式。

提示

根據您從中開始的入口網站，本文中的步驟可能會略有不同。

以至少驗證系統管理員的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [保護]>[驗證方法]>[密碼保護]。
設定 [在 Windows Server Active Directory 上啟用密碼保護] 選項為 [否]。

當此設定設為 [否] 時，所有已部署 Microsoft Entra 密碼保護 DC 代理程式都會進入「靜止」模式，其中所有密碼都會依原樣接受。不會執行驗證活動，也不會產生稽核事件。
建議您一開始將 [模式]設定為 [稽核]。在您熟悉此功能以及對組織中的使用者所造成的影響之後，您可以將 [模式] 切換為 [強制執行]。如需詳細資訊，請參閱下一節的操作模式。
在準備就緒時，選取 [儲存]。

當您啟用內部部署 Microsoft Entra 密碼保護時，您可以使用 [稽核] 模式或 [強制執行] 模式。我們建議您一律在稽核模式中進行初始部署和測試。然後，監視事件記錄中的輸入，以預防在啟用 [強制執行] 模式後，是否會干擾任何現有的作業程序。

稽核模式的目的是為了在「What If」模式中執行軟體。每個 Microsoft Entra 密碼保護 DC 代理程式服務都會根據目前作用中的原則來評估傳入的密碼。

如果目前的原則設定為要在稽核模式中執行，「不良」密碼就會產生事件記錄訊息，但系統會處理並更新該密碼。此行為是稽核和強制模式之間的唯一差異。所有其他作業的執行方式都是相同的。

強制執行模式的目的是為了作為最終設定。如同在稽核模式中，每個 Microsoft Entra 密碼保護 DC 代理程式服務都會根據目前作用中的原則來評估傳入的密碼。不同的是，在啟用強制執行模式時，系統會根據原則拒絕視為不安全的密碼。

當 Microsoft Entra 密碼保護 DC 代理程式在強制執行模式中拒絕密碼時，終端使用者所見到的錯誤，會和傳統內部部署密碼複雜度強制執行功能拒絕其密碼時所見到的錯誤相同。例如，使用者可能會在 Windows 登入或變更密碼畫面看到下列傳統錯誤訊息：

「無法更新密碼。為新密碼提供的值不符合網域的長度、複雜度或歷程需求。」

這則訊息只是數個可能結果的其中一個範例。特定錯誤訊息會隨著嘗試設定不安全密碼的實際軟體或案例而有所不同。

受影響的終端使用者可能需要與其 IT 人員合作，以了解新的需求，並選擇安全的密碼。

注意

在拒絕弱式密碼時，Microsoft Entra 密碼保護無法控制用戶端電腦顯示的特定錯誤訊息。